パスワードを忘れた? アカウント作成
14150771 story
ニュース

楽天の出店者専用システムに新聞記者がアクセス、出店者側がID/パスワードを提供 34

ストーリー by hylom
そんな簡単に伝えちゃダメでしょ 部門より

楽天が同社のオンラインモールに出店する事業者に対し一定金額以上の購入時の送料無料化を求めたことに対し出店者は反発しているが(過去記事)、出店者らによる団体「楽天ユニオン」の代表が楽天の出店者向けシステムにログインするためのIDとパスワードを日経新聞の記者に伝え、その記者が実際にシステムにアクセスした、という話が出ているようだ(週刊ポスト)。

「楽天の関係者」によると、システムに日経新聞社が使用するIPアドレスから2回のアクセスが確認されたという。ただ、出店者側がIDとパスワードを伝えたとされているため、このアクセスは不正アクセスには相当しないと考えられるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年04月02日 22時23分 (#3790224)

    楽天出展者用に単一のIDとパスワードがあってそれを伝えたとか勘違いしている人が多いのかな。

    RMSへのログイン管理は「ストアアカウント + ストアメンバーアカウント」のペアで行われていて
    当然だけどそのストアのストアメンバーアカウントはストアが独自に発行・管理している。
    例えばストアが外部の広告会社や運用会社と契約してストアメンバーのアカウントを発行して委託するとか
    滅茶苦茶普通に行われているし、契約上も何の問題もない。

    今回話題となった店舗が運営のための何らかの用に合わせ必要な権限だけを付与したストアのメンバーアカウントを作って
    渡す事には規約的にも全く何の問題もないし、不正だなんだのと騒ぐのは有利誤認を期待した妨害じゃないのですかね。

    • by Anonymous Coward

      その手のストアアカウントの発行については、大抵は目的外での濫用禁止の規定は有ると思われるんだが。
      楽天は知らないけど他では大抵有ったぞ。

      • by Anonymous Coward

        店舗経営の継続に必要と判断して渡したのなら何の問題もありませんね。

  • by Anonymous Coward on 2020年04月02日 15時09分 (#3789871)

    出店者ですけれど、RMSに特別な制限などなく、docomo回線からもあっさりログインできるんですよね。
    ユニオンの代表だから、デジタルストーキングされていたんじゃなかろうか。

    • by Anonymous Coward

      ストールマンがログインしても怪しまれない!

    • by Anonymous Coward

      >楽天市場の規約を見たいと言われ、
      >「確かに、日経の記者さんにIDとパスワードは伝えました」
      って書いてあるぞ、これじゃ不正アクセスでないと思うぞ

      >自店舗のIDやパスワードを第三者に渡して閲覧できるようにすることは規約違反

      >(ログインした場合は)その店舗での購入者の個人情報(氏名、住所、電話番号、購入商品)をシステムを通じて確認することができます

      ユニオンの代表の規約違反だけ?
      日経の記者は、恐らく個人情報を見てないだろう、見てたらそれを書くだろうし、
      また、説明には確認したとは言わずに、確認することができますと誤認してほしそうに書いてある。
      もしかしたら、回覧したかどうかわからない糞システムなのか?

      • by Anonymous Coward

        分かりませんし、制限する方法がありません。

        スタッフ以外、たとえばHTMLを書く外注業者にサブアカウントを付与するようなことも機能的に想定されてるのですが、
        それについてR-Storefrontの権限をOffすることができないので、彼らも購入者情報がガバガバ見れます。

    • by Anonymous Coward

      妙に内部事情に詳しい記事書いてたとかで、記者に見られているという想定で調査を行ったとすれば、
      日経のIPアドレスを検索して漏らした奴をすぐに特定できそうではある。

    • by Anonymous Coward

      ちなみにRMSの二段階認証はViberだったりするので、そんなものを使っている人はおりません(笑

    • by Anonymous Coward

      > 出店者ですけれど、RMSに特別な制限などなく、docomo回線からもあっさりログインできるんですよね。

      携帯電話回線からログインできるのは当然じゃないのかな?
      でないと、固定回線持ってない出店者はアクセスできなくなるだろうし。

    • by Anonymous Coward

      i-mode 時代なら意図的に通す、という制御だったのでおっしゃることはわかるんだけど、今は意図的に塞がない限りただのインターネットアクセスなのです。docomo モバイル回線が使う CIDR が把握できないと止めることは難しいし、通常の用途として止めちゃいけないアクセスじゃないですかね。

      パスワードがハッシュ化されていたが暗号化されていなかった!!みたいな事いうのやめようぜ。

      • by Anonymous Coward

        ちなみにWowmaやAmazonだと、メールでワンタイムパスワード認証を求めてきます。

        楽天は「モールにおける取引の安全性・利便性向上のためのシステム利用料(税別)」を別途徴収するけれど、こんな感じ。
        データ装備費なのかな。

    • by Anonymous Coward

      実際には日経に渡していたわけで、どうやって特定したか明かしたら抑止力としての意味失うのでは?

      • by Anonymous Coward

        アクセス解析にIPアドレスと一緒にドメインも表示されててNIKKEIとか書いてたんじゃないんですかね

        • by Anonymous Coward

          偽ブランド品販売サイトの振込先で中国留学生名義の楽天銀行の口座が使われまくったから、普段のログインと全く関係ないIPレンジからログインされたら警告対象ぐらいはするでしょ。

  • by Anonymous Coward on 2020年04月02日 15時14分 (#3789872)

    出店者って、楽天からみると顧客ですよね。
    顧客がどのIPアドレスからアクセスしてたかって、公的な開示要求とかがないかぎりはプライバシーとして保護すべきものだと思うけど、
    楽天はその辺がガバガバってことですね。

    • by Anonymous Coward

      顧客≠消費者

    • by Anonymous Coward

      「日経新聞の記者」は顧客じゃないんじゃね?
      #アクセスできるIPが制限されてる場合だってあるかもしれん。
      #Gmailだって、いつもと違う場所からアクセスがあると、不正アクセスの疑いありと警告が出たりする。

      気になるのはパスワードを関係ない第三者に渡して、内部にアクセスさせる行為は契約上
      禁止されてなかったのかということかな。

      • by Anonymous Coward

        > 「日経新聞の記者」は顧客じゃないんじゃね?

        アクセスしたのが 「日経新聞の記者」だってのは憶測でしかありませんね。
        出店者自身が日経新聞の記者に呼ばれて新聞社に出向き、
        日経の端末を使って自分でアクセスした可能性だってあるわけで。

        • by Anonymous Coward

          出店者が出向いて自分でアクセスするのなら、IDとパスワードを日経の記者に伝える必要は無いでしょう。
          記者に見られていない状態でログインした後、日経の記者に資料を確認してもらえば良いだけ。
          日経の記者が単独でアクセスした可能性もある。

          店舗運営と無関係な人間にIDとパスワードを教えるのは、楽天のシステム以前の問題だと思うけど。
          セキュリティに対する意識はどうなっているのだろう。

        • by Anonymous Coward

          記事読んででないでしょ。
          日経側が自分とこの記者がアクセスしたって認めてるんだよ。

          本当なら楽天の肩なんか持ちたくないが、これは筋が悪すぎる。

          • by Anonymous Coward

            管理者側が部外者の自己申告をうのみになんかしないのは当たり前。
            たとえばハッカーがシステム侵入の犯行声明を出したとしても、侵入された側は「怪しい侵入の痕跡は見つかったが誰が侵入したのかは特定できない」と言うもんだよ。

          • by Anonymous Coward

            楽天が公開したことが大問題なんですよ。

      • by Anonymous Coward

        gmailのアレはipアドレスで判断してる訳じゃないだろ

    • by Anonymous Coward

      楽天の関係者という(ある意味)あやふやな存在ですから…

    • by Anonymous Coward

      用途外使用ですしアカウントの貸し借りは必然性が無いと認められないなんて契約もままありますから、その辺りは単純には言えないのでは?

    • by Anonymous Coward

      んー、ちょっとしたトラップかもしれんな。
      店の属性として関連が考えにくい新聞社のIPアドレスからアクセスされてたら、問題のあるアクセスと早とちりして、
      XX新聞社からシステムのアクセスがあったぞどういうことだとかポロッと口が滑ってしまうかもしれない。
      勿論そのケースはサービス運営側のチョンボだとは思うけど。

    • by Anonymous Coward

      出店者が日経の取材に応じて、その時に日経の客向け無線LANから、出店者が自分の管理画面にアクセスしただけかもしれないのにな。
      楽天関係者が漏らしたこと事態がだいぶアカンような。

  • by Anonymous Coward on 2020年04月02日 18時18分 (#3789982)

    日経新聞の関係者が副業で楽天への出品やその手伝いをやってるのでは?

    • by Anonymous Coward

      その位注意深く準備していれば言い逃れも出来たものを。

  • by Anonymous Coward on 2020年04月02日 22時08分 (#3790214)

    第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。

    第十二条 次の各号のいずれかに該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
    二 第五条の規定に違反して、相手方に不正アクセス行為の用に供する目的があることの情を知ってアクセス制御機能に係る他人の識別符号を提供した者

    引っかかると思うのですが。

    • by Anonymous Coward on 2020年04月03日 10時01分 (#3790478)

      他人の識別符号

      自分の識別符号を他人に提供してはならんとは書かれてないな

      親コメント
      • by Anonymous Coward

        これは楽天の利用規定違反でしかないよな。

    • by Anonymous Coward

      店舗の通常のアカウント以外のアカウントを作成し、適切な権限を設定したうえでそのアカウント情報を伝える
      引っかかる要素が見つからないように思うのですが。

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...